
Microsoft lancia l’allarme per la diffusa minaccia del malware Lumma
In un recente post sul blog, Microsoft ha pubblicato statistiche allarmanti sull’impatto del malware sui sistemi Windows. L’azienda ha riferito che nel giro di due mesi, dal 16 marzo al 16 maggio 2025, oltre 394.000 dispositivi Windows in tutto il mondo sono stati vittime di un malware che ruba informazioni noto come “Lumma”.
Capire Lumma: una minaccia Malware-as-a-Service
Lumma, noto anche come LummaC2, è una sofisticata soluzione “malware-as-a-service” (MaaS) sviluppata dal gruppo di hacker Storm-2477. I criminali informatici hanno utilizzato Lumma principalmente per rubare dati sensibili da diverse applicazioni, inclusi browser web e wallet di criptovalute.
Tattiche di distribuzione e infezione di Lumma
Microsoft ha descritto dettagliatamente i vari metodi di distribuzione dannosi che hanno facilitato la diffusione di Lumma. Tra questi:
- Email di phishing: email ingannevoli studiate per indurre i destinatari a scaricare malware.
- Malvertising: pubblicità false mirate a diffondere software dannosi.
- Download drive-by: sfruttamento di siti web compromessi per installare inconsapevolmente malware sui dispositivi dei visitatori.
- Trojan: applicazioni dall’aspetto legittimo che nascondono malware.
- CAPTCHA falsi: messaggi fuorvianti che inducono gli utenti a cadere in trappole malware.
Ad esempio, gli utenti sono stati indotti a scaricare falsi software etichettati come “Notepad++” o “aggiornamenti di Chrome”.Per evitare di cadere in queste tattiche, si raccomanda di scaricare sempre il software direttamente da fonti ufficiali.
Persistenza della minaccia di Lumma
Anche se gli utenti ottengono il software in modo sicuro, Lumma rimane una minaccia persistente. Il malware può infiltrarsi nei sistemi attraverso diversi vettori una volta superate le difese, colpendo i browser più diffusi basati su Chromium, come Google Chrome e Microsoft Edge, oltre a Mozilla Firefox.
Capacità del malware Lumma
Microsoft ha delineato le ampie capacità di Lumma nel furto di dati sensibili:
- Credenziali del browser e cookie: estrae le password salvate e i cookie di sessione dai principali browser.
- Portafogli di criptovalute: prendono di mira i file e le estensioni dei portafogli, cercando chiavi sensibili.
- Varie applicazioni: raccoglie informazioni da VPN, client di posta elettronica, client FTP e applicazioni di messaggistica.
- Documenti utente: raccoglie i file dalle directory utente, in particolare quelli nei formati.pdf e.docx.
- Metadati di sistema: raccolgono dati di telemetria per agevolare la progettazione di attacchi futuri.
Mappa di calore dell’impatto globale e delle infezioni
Secondo una mappa termica condivisa da Microsoft, la devastazione causata da Lumma è particolarmente pronunciata in regioni come l’Europa, gli Stati Uniti orientali e varie parti dell’India, il che sottolinea la natura globale di questa minaccia:

Misure difensive di Microsoft
Fortunatamente, c’è un lato positivo. Microsoft ha confermato che il suo software antivirus Defender è ora in grado di rilevare LummaC2. Il malware verrà segnalato con diverse classificazioni di comportamento sospetto e trojan:
- Comportamento:Win32/LuammaStealer
- Trojan:JS/LummaStealer
- Trojan:MSIL/LummaStealer
- Trojan:Win32/LummaStealer
- Trojan:Win64/LummaStealer
- TrojanDropper:Win32/LummaStealer
- Trojan:PowerShell/Powdow
- Trojan:Win64/Shaolaod
- Comportamento:Win64/Shaolaod
- Comportamento:Win32/MaleficAms
- Comportamento:Win32/ClickFix
- Comportamento:Win32/SuspClickFix
- Trojan:Win32/ClickFix
- Trojan:Script/ClickFix
- Comportamento:Win32/RegRunMRU
- Trojan:HTML/FakeCaptcha
- Trojan:Script/SuspDown
Funzionalità simili sono disponibili tramite Defender per Office 365 e Defender per Endpoint. Per approfondimenti tecnici più dettagliati su Lumma, è possibile consultare il post ufficiale del blog Microsoft qui e il relativo annuncio qui.
Lascia un commento